Die Datenschutzkonferenz hat am 14.10.2019 ein Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldzumessung in Verfahren gegen Unternehmen veröffentlicht. Für die Unternehmen bringt das Papier Licht und Schatten: Die Bezifferung von Bußgeldern dürfte zwar etwas kalkulierbarer werden. Gerade größere Unternehmen dürfen sich jedoch auf vergleichsweise höhere Bußgelder gefasst machen.
Die unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder haben im Rahmen ihres veröffentlichten Rechenmodell den Ansatz zementiert, dass in einem modernen Unternehmenssanktionsrecht mit erheblichen maximalen Bußgeldbeträgen, das sich zugleich an eine Vielfalt unterschiedlich großer Unternehmen richtet, der Umsatz eines Unternehmens eine geeignete, sachgerechte und faire Anknüpfung zur Sicherstellung der Wirksamkeit, Verhältnismäßigkeit und Abschreckung darstelle. Mit anderen Worten: Viel Umsatz, viel Bußgeld.
Die Bußgeldzumessung soll nach den Vorstellungen der Datenschutzkonferenz in Verfahren gegen Unternehmen in fünf Schritten erfolgen. Zunächst wird das betroffene Unternehmen einer Größenklasse zugeordnet (1.), danach wird der mittlere Jahresumsatz der jeweiligen Untergruppe der Größenklasse bestimmt (2.), dann ein wirtschaftlicher Grundwert ermittelt (3.), dieser Grundwert mittels eines von der Schwere der Tatumstände abhängigen Faktors multipliziert (4.) und abschließend der unter 4. ermittelte Wert anhand täterbezogener und sonstiger noch nicht berücksichtigter Umstände angepasst (5.). Nach Ansicht der Datenschutzkonferenz „garantiere“ diese eine nachvollziehbare, transparente und einzelfallgerechte Form der Bußgeldzumessung.
Mit Blick auf den Umstand, dass die Kriterien 1 bis 3 eher statisch sind und „stumpf“ ausgerechnet werden können, dürfte in der Praxis die Musik bei den Kriterien 4 und 5 spielen, bei denen sowohl der Schwere eines Verstoßes und vor allem den „täterbezogenen“ Umständen Rechnung getragen werden kann. Für Unternehmen dürfte gerade das Kriterium Nr. 5 den entscheidenden Ansatz bilden, um etwaig hoch bemessene „Grundwerte“ angemessen nach unten zu korrigieren. Dabei werden es die Datenschutzbehörden sicherlich zu würdigen wissen, wenn betroffene Unternehmen nicht erst anlässlich eines konkreten Vorfalls aufgeschreckt werden, sondern im Vorfeld angemessene Maßnahmen unter der DS-GVO getroffen haben, um ein angemessenes Datenschutz- und Datensicherheitsniveau zu etablieren. Insoweit dürfte Vorbeugung mit die beste Verteidigung sein.
Das Dokument der Datenschutzkonferenz zum Rechenmodell ist abrufbar unter: https://www.datenschutzkonferenz-online.de/media/ah/20191016_bu%C3%9Fgeldkonzept.pdf
